cómo usar FortiAnalyzer para detectar actividades relacionadas con las vulnerabilidades de Zoho ManageEngine ServiceDesk Plus

Descripción

Este artículo describe cómo usar un controlador de eventos personalizado en FortiAnalyzer para detectar actividades relacionadas con vulnerabilidades de Zoho ManageEngine ServiceDesk Plus, que es vulnerable a la ejecución remota de código no autenticado. La vulnerabilidad se asigna CVE-2021-44077.

¿Qué se incluye en Fortinet_SOC-Zoho-Malware-Detection.zip?
1. Zoho Exploit_event-handler.json
Este controlador de eventos ayuda a identificar los intentos de explotación detectados por la detección de control de aplicaciones, IPS y AV de FortiGate. Además, se basa en la detección de antivirus, vulnerabilidades y filtros web de FortiClient, así como en la detección de FortiSandbox. Los registros que activan el controlador de eventos se generan desde FortiGate, FortiClient y FortiSandbox. Por lo tanto, su firma AV correspondiente debe mantenerse actualizada para prevenir y registrar las vulnerabilidades.

Alcance

El controlador de eventos personalizado provisto se puede usar en FortiAnalyzer 6.4+.

Solución

Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 6.4.4.
1) Descargue el archivo Fortinet_SOC-Zoho-Malware-Detection.zip (contiene 2 archivos)
2) Descomprimir Fortinet_SOC-Zoho-Malware-Detection.zip
3) Use Zoho Exploit_event-handler.json para importar a los controladores de eventos
una. Elija un ADOM (si los ADOM están habilitados)
b. Elija el módulo FortiSOC
C. Seleccione la lista de controladores de eventos
d. Seleccione la opción Importar en «Más»
mi. Seleccione Zoho Exploit_event-handler.json

Resultado:

Zoho Exploit_event-handler.json está habilitado y se activará si se reciben los registros correspondientes después de importar el controlador de eventos.

Relacionado

https://www.fortiguard.com/outbreak-alert/zoho-exploit